Por: Fernando Amaral | Sendys Group

Há cerca de nove meses, mais concretamente, a 25 de maio, o Regulamento Geral de Proteção de Dados, conhecido como RGPD, entrou em vigor. Ainda se recorda de todo o frenesim que gerou? Passado quase um ano, o que mudou na relação das organizações com os seus públicos e no tratamento de dados pessoais dos seus colaboradores, clientes, fornecedores, parceiros?

Volvido este tempo, é agora fundamental fazer um balanço e avaliar como as empresas estão a lidar com novas regras, que as obriga a uma boa gestão dos dados em sua posse, e perceber o que ainda está por fazer.

E, aqui, sejamos claros: à exceção de algumas multinacionais e empresas de sectores regulados, a minha experiência no terreno diz-me que a maioria das empresas não conseguem garantir o cumprimento escrupuloso do RGPD. Muitas delas estão em fase de implementação e, outras, ainda nem iniciaram.

Mas, as consequências estão aí. O Centro Hospitalar Barreiro Montijo foi multado em 400 mil euros, valor recorde na União Europeia até que, já este ano, o regulador francês aplicou à Google uma multa de 50 milhões de euros. Sinais de que as entidades tutelares estão atentas ao cumprimento do regulamento.

Ainda que esta transformação exija uma componente processual e tecnológica que possa ser considerada pesada, a verdade é que todas as organizações públicas e privadas estão obrigadas, desde 25 de maio, a um conjunto de medidas basilares para o cumprimento do RGPD. E estas medidas devem ser encaradas como uma oportunidade para melhorar processos internos, pois todos nós, enquanto indivíduos, utentes, clientes, queremos que os nossos dados pessoais sejam tratados de forma correta e, sobretudo, com o nosso conhecimento.

Hoje, qualquer cidadão tem o direito de transferir os dados pessoais de um serviço para outro, bem como, no limite, o derradeiro direito a ser esquecido. Com o RGPD, caso os dados pessoais, detidos por uma empresa, sejam expostos, devido a um ciberataque por exemplo, a empresa deverá informar as autoridades e as pessoas afetadas dentro do prazo máximo de 72 horas após tomada de conhecimento – caso represente um risco para os direitos e as liberdades de uma pessoa. Bom senso, dirão muitos. Mas o facto é que, hoje, muitas organizações não cumprem estes mínimos, agora exigidos.

Todas as organizações têm que conhecer as regras, analisar as obrigações, verificar o nível de cumprimento e adotar as medidas de mitigação e corretivas necessárias. O que deveria ter sido feito, há muito, no período de adaptação, mas que na prática ainda está longe de ser a realidade. Para estarem conforme o RGPD, as organizações devem socorrer-se de especialistas avalizados e experientes nos processos burocrático e tecnológico.

Com toda a certeza que nenhuma organização, independentemente da sua dimensão, quer ser conotada com condutas abusivas por parte dos seus públicos, nem ser a próxima notícia nacional sobre uma coima por incumprimento do RGPD.